Най-интересното

На 17 октомври изтече крайният срок за транспонирането на NIS 2 в националните законодателства на страните от ЕС. Това, логично, постави директивата под светлините на прожекторите на Европейския месец на киберсигурността. Тя обаче далеч не е единствената стъпка на блока по отношение на сигурността на цифровите технологии от последните дни. 

Седмица по-рано Съветът на Европейския съюз прие законодателен акт, известен като Cyber Resilience Act (CRA). Неговата цел е да гарантира, че всички продукти с цифрови елементи, които се предлагат на пазара в ЕС, отговарят на определени основни изисквания за киберсигурност. В обхвата му влизат всевъзможни устройства – от играчки до уредите за умен дом. 

Изключения правят тези, за които вече съществуват специфични правила за киберсигурност, като медицински апарати, продукти за авиацията и автомобили.  

CRA е част от по-широката стратегия на ЕС за киберсигурност, която включва и други законодателни актове като EU Cybersecurity Act. Тези мерки са насочени към повишаване на общата киберустойчивост на блока за адекватна защита на потребителите и бизнеса от нарастващите киберзаплахи.  

 Cyber Resilience Act въвежда: 

• задължителни изисквания за киберсигурност за широк спектър от хардуерни и софтуерни продукти, които се свързват с комуникационните мрежи на страните членки или с други устройства;
• задължение на производителите да оценяват рисковете за сигурността и да предприемат подходящи мерки;
• ангажимент за компаниите да докладват за инциденти и уязвимости;
• система за сертифициране и маркировка за съответствие. 

Производителите на свързани устройства са задължени да започнат да предлагат съвместими със CRA продукти до 2027 г. В случай на несъответствие надзорните органи могат да изискат от тях да отстранят рисковете, както и да забранят или ограничат предлагането на продуктите им на пазара.  

Предвидени са и финансови санкции в размер на милиони евро или определен процент от общия световен годишен оборот за предходната финансова година. Те следва да бъдат заложени в националните законодателства. 

 

Все повече организации осъзнават, че принтерите и копирните машини могат да бъдат слабо място в тяхната киберзащита. Особено в контекста на хибридната работа.  

Проучването Global Print Security Landscape 2024 на Quocirca установява, че през 2024 г. 67% от респондентите са преживели инцидент, свързан със сигурността на копирните машини. През миналата година този процент е бил 61.  

Малките и средните организации са най-застрашени: 

• 3/4 (74%) от тях съобщават за инцидент, свързан със загуба на данни заради принтери;  
• 33% идентифицират личните принтери на служителите като основен риск за сигурността;
• много от тях нямат специализиран IT персонал за управление на принтерната сигурност. 

Списъкът с основните уязвимости е дълъг и разнообразен. На първо място, преминаването към облачни и хибридни решения за печат създава по-сложна и трудна за контролиране среда.  

В същото време много организации използват остарели принтерни системи. Те не получават редовни актуализации за сигурност, нямат вградени съвременни защити и често работят с фабрични настройки. Използването на фабрични настройки означава, че една открита уязвимост може да засегне множество устройства от същия модел. 

Не на последно място, принтерите рядко са включени в системите за мониторинг на сигурността. 

Как да се защитим 

Всичко изброено по-горе ясно показва, че защитата на принтерната инфраструктура е от изключително значение за всяка компания, независимо от нейния размер.  

Затова ви съветваме: 

• криптирайте всички комуникации между устройствата и сървърите; 
• използвайте защитени протоколи като IPSec или SSL/TLS;
• редовно обновявайте сертификатите за сигурност; 
• въведете стриктен контрол на достъпа и силни пароли за всички устройства; 
• имплементирайте многофакторно удостоверяване (комбинация от PIN код, карта за достъп и/или биометрични данни);  
• създайте и поддържайте политика за управление на достъпа;  
• актуализирайте фърмуера на всички устройства веднага след излизане на нова версия и провеждайте месечни проверки за нови уязвимости; 
• ангажирайте външни експерти за годишен одит; 
• поддържайте актуален регистър на всички устройства и техните конфигурации. 

Не забравяйте и самите служители. Те трябва да са обучени как да работят чувствителни документи и да разпознават подозрително поведение на устройствата. Процедурите за докладване на инциденти и безопасно използване на отдалечен печат също са част от задължителните мерки за защита на вашата организация. 

Хакерите са взели на въоръжение инструмента EDRSilencer, който принципно се използва от Red Teams екипите за тестване на сигурността в организациите. Той е способен да се намесва в работата на EDR софтуерите, използвайки платформата за филтриране на трафика в Windows (WFP).  

EDR наблюдават крайни точки като компютри или сървъри за признаци на злонамерена активност. От своя страна EDRSilencer е проектиран да блокира мрежовата комуникация на техните процеси. Ефектът от това действие е значителен, тъй като по този начин се нарушава основната функционалност на EDR системите. Блокирайки комуникацията им, EDRSilencer създава „сляпа зона“ в защитата на организацията. 

За да противодействате на заплахи като тази, препоръчваме прилагането на комплексен подход. Той включва следните ключови стратегии: 

Внедряване на многослойни контроли за сигурност 

• Изолиране на критичните системи и чувствителните данни, за да се ограничи възможността за странично движение на атакуващите в мрежата. 
• Използване на множество нива на контрол за сигурност, включително защитни стени, системи за откриване на нарушения, антивирусен софтуер и EDR решения. Този подход създава резервираност и повишава общата устойчивост на системата. 

Подобряване на сигурността на крайните точки  

• Внедряване на решения за сигурност, които използват поведенчески анализ и откриване на аномалии. Това позволява идентифициране на необичайни дейности, които биха могли да заобиколят традиционните EDR системи.
• Ограничаване на изпълнението само до одобрени приложения, което значително намалява риска от изпълнение на злонамерен софтуер.

Провеждане на непрекъснато наблюдение и активно търсене на заплахи  

• Проактивното търсене на индикатори за компрометиране (IoCs) и APTs в мрежата позволява ранно откриване и предотвратяване на сложни атаки.

Прилагане на строги контроли за достъп  

• Осигуряване на минимално необходимото ниво на достъп за потребители и приложения, за да изпълняват своите функции. Това ограничава потенциалния обхват на щетите при успешна атака. 

 

 

 

 

Използвате пароли от осем символа и си мислите, че акаунтите ви са защитени? Време е да ви разочаровам. Според доклада 2024 Password Table на IT компанията Hive Systems средното време, нужно на хакерите да разбият една подобна парола чрез brute force атака, е 37 секунди! 

В същото време в блога си лабораторията за киберсигурност Cisco Talos предупреждава, че броят на този тип атаки нараства значително през 2024 – тенденция, валидна за всяка една от последните години. 

Какво представляват brute force атаките? 

Brute force атаките са насочени срещу защитени с парола акаунти. При тях нападателят използва софтуер, който генерира множество последователни предположения за изключително кратко време, за да получи неоторизиран достъп до даден профил.  

Brute force атаките могат да бъдат изключително успешен инструмент в ръцете на хакерите. Особено ако не сте защитени от допълнителни мерки за сигурност. С увеличаването на сложността на паролата те стават по-малко практични заради експоненциалното нарастване на броя на възможните комбинации, но това единствено отнема повече време на нападателя. 

Видове brute force атаки 

За да стане ситуацията още по критична, brute force атаките са изключително разнообразни: 

• Обикновени brutе force атаки: Основната форма, при която нападателят ръчно опитва различни комбинации от знаци, цифри и символи, за да отгатне паролата. Този подход отнема много време и е неефективен, но работи изненадващо добре срещу слаби, предсказуеми пароли като „123456“ или „password123“. 
• Речникови атаки (Dictionary Attacks): Вместо случайни предположения, речниковите атаки използват предварително изготвени списъци с често срещани думи, фрази, вариации и изтекли пароли. Те могат да бъдат съобразени с миналото или интересите на целта и са значително по-бързи и по-ефективни от обикновените. Особено срещу потребители, които използват едни и същи пароли в различни акаунти. 
• Хибридни brute force атаки: Те съчетават двата гореописани подхода. Започват с по-малък списък от често срещани пароли, който след това се разширява със замяна на символи, вариации и др. 
• Reverse Brute Force: Тук нападателят вече има някаква информация за паролата, като например нейната дължина или специфични символи. Въз основа на тази информация той изгражда списъци с възможности, които увеличават скоростта и успеваемостта на атаката. 
• Подправяне на идентификационни данни (Credential Stuffing): Тази вариация включва използване на изтекли или откраднати двойки потребителски имена и пароли при пробиви в дадени платформи, които се изпробват в други такива. Тя разчита на факта, че много потребители използват едни и същи идентификационните данни в различни акаунти.  
• Rainbow Table Attacks (дъгови таблици): При тези атаки се използват предварително изчислени хешове на често срещани пароли и след това се сравняват с хешовата парола на целевата система. Въпреки че не разкрива директно паролата, успешното съвпадение я идентифицира в дъгова таблица. 
• Password Spraying: Вместо да се насочва към конкретни акаунти, при атака от този вид нападателят използва една парола срещу голям брой профили. Целта е да се използват слаби политики за защита или повторна употреба на пароли в различни платформи. Макар и не толкова целенасочена, тя може ефективно да идентифицира уязвими акаунти и да получи достъп до множество системи наведнъж. 
• Brute force атаки срещу RDP връзки: Протоколът за отдалечен работен плот (Remote Desktop Protocol – RDP) е популярен инструмент за отдалечен достъп до компютри. Нападателите могат да използват brute force техники, за да отгатнат идентификационните данни за вход в RDP и да получат неоторизиран достъп до отдалечената система. Това може да бъде врата за по-нататъшни атаки към мрежата или данните, съхранявани в нея. 

Как да се защитите? 

Същестуват различни начини да се защитите от brute force атаките. Част от тях включват политики за блокиране след определен брой неуспешни опити за вход, CAPTCHA, предназначени да предотвратят автоматичното подаване на заявки, както и многофакторна автентикация. 

Мениджърите на пароли са друг инструмент, който ограничава риска, тъй като ви помага да поддържате уникални, сложни пароли за различните платформи и услуги, които използвате. 

Също така, когато обмисляте с каква парола да защитите даден акаунт, заложете на дължината и използвайте различни символи. 

Не на последно място, не препоръчваме честа смяна на пароли, но когато имате и най-малкото съмнение, че някоя от тях е компрометирана, това е задължителна предохранителна мярка. 

Понякога работата е толкова много, че губим фокус и започваме да пропускаме някои важни детайли. Това води до намаляване на ефективността, производителността и резултатите – и в крайна сметка до пълно прегаряне. Това е особено вярно за работата в областта на ИТ, където процентът на прегаряне е висок заради огромното количество задачи. 

В областта на киберсигурността „прегряването от нотификации“ е един от основните признаци на бърнаут и може да доведе до сериозни проблеми за бизнесите. Познаването на симптомите и начините за смекчаване на всяка възможност за настъпването му е от първостепенно значение за благополучието на вашия бизнес и служителите ви. 

Какво представлява „прегряването от нотификации“? 

„Прегряването от нотификации“ е признак на много неща, но най-вече е знак за настъпващ бърнаут. Дали заради сложни интерфейси, дефектни софтуери за сигурност, изобилстващи от фалшиви положителни резултати, или ниска честотна лента за обработка на входящите сигнали, особено в областта на киберсигурността, е лесно да се претоварите. 

XDR (Extended Detection and Response) решенията могат да бъдат полезни, но също така могат да бъдат и много уморителни при работа с тях. По подобен начин SIEM (Security Information Event Management) софтуерите са много полезни, но може да е трудно да се различи кое е важно и кое не, а входящият трафик от логове е способен да претовари дори най-квалифицирания специалист. 

Всички тези платформи изискват постоянно внимание и водят до повишени нива на стрес и евентуално нежелание за по-задълбочено разследване на инциденти заради броя на нотификациите. Това, съчетано с други аспекти на работата на специалистите по киберсигурност, може силно да увеличи работното натоварване. Представете си го като постоянна необходимост да бъдете бдителни и внимателни. Повторете това няколко пъти и ето – прегарянето е факт. 

Изискващи работни натоварвания 

Тук може да се повдигне и въпросът дали наистина работното натоварване е това, което предизвиква „прегряването от нотификации“, или то е резултат от факта, че инструментите за киберсигурност не се справят със задачата да облекчат човешкия фактор. 

Необходимостта от намаляване на тежестта върху ИТ специалистите в предприятията лесно може да се обоснове, тъй като често изпълняват много роли. От една страна, те защитават компанията от външни заплахи, а от друга – управляват мрежите и устройствата, използвани от служителите. 

Обикновено тези дейности са разпределени между няколко човека, но това не означава, че те не могат да прегреят. Високите изисквания към тях и повтарящите се дейности, които трябва да извършват, могат да ги натоварят изключително много. В същото време прекомерната скука на работното място може да доведе до същия резултат. 

Сложен софтуер 

За ИТ специалистите проклятието на тяхното съществуване е лошият, бъгав или прекалено сложен софтуер, който затруднява работата им многократно. Ето защо настоящата тенденция е да се опростяват потребителските интерфейси или да се добавя малко автоматизация, за да се подчертават само най-важните точки. 

Това е лесно да се види, когато погледнете еволюцията на операционните системи или широко използваните приложения – през 2010 г. повечето компании решиха да опростят и да направят взаимодействието с бъдещите си модификации по-лесно от преди (добър пример е актуализацията на iOS 7 или Windows 11 в сравнение с предишните версии). ESET направи същото с платформата ESET PROTECT, като въведе опростено и лесно за използване табло за управление, за да направи работата на специалистите по киберсигурност по-удобна. 

Нещо повече, тази философия на дизайна накара компанията да разработи функции като ESET AI Advisor и ESET Vulnerability and Patch Management. По този начин тя посочва слона в стаята – напредналата киберсигурност не трябва да бъде бреме, тъй като, умората от нея е чудесен начин тя да бъде отслабена. 

Управление на натоварванията и намаляване на сложността 

Винаги има начин да се улесни работата и винаги има решения, които съществуват като отговор на някои недостатъци или слаби места на други. Например претоварените ИТ екипи или тези на малките бизнеси могат да изберат да възложат сигурността си на доставчици на управлявани услуги за сигурност (MSSP). По този начин те ще намалят вероятността от преумора в резултат на задачите, свързани с киберсигурността. 

Не можете да се справите с броя на нотификациите, идващи от обширната ви бизнес инфраструктура? Потърсете MDR (Managed Detection and Response) решение. То може да помогне на всеки бизнес да използва допълнителните умения и знания на опитен доставчик на киберсигурност, повишавайки качеството и състоянието на защитата му. 

Не всеки бизнес може да си позволи да увеличи размера на ИТ екипите си, особено във времена на недостиг на специалисти. А ако тези, които вече имате, са на ръба на силите си, защо да ги губите заради прегаряне? 

Има и няколко начина, които хората и бизнесите могат да използват, за да се предпазят „прегряването от нотификации“: 

• Правете почивки: Претоварването е сигурен начин да се стигне до прегаряне. Затова се опитвайте да си давате почивка. Препоръчителната продължителност е 15 минути на всеки два часа, разбира се, с 8 часа сън. 
• Автоматизирайте някои задачи: Често хората не познават конкретни инструменти, които могат да улеснят живота им чрез автоматизация. Например, ESET PROTECT позволява на администраторите да автоматизират някои задачи – актуализации на операционната система и продуктите, сканиране, изключване на компютри – освобождавайки честотната им лента. По подобен начин мощта на модулите на ESET PROTECT, които са базирани на изкуствен интелект, включително ESET AI Advisor в ESET Inspect, може да гарантира по-малко стресови ситуации, увеличавайки производителността и ефективността. 
• Търсете цялостна опростеност: Наличието на лесен за използване интерфейс, представящ много важни данни в ясен вид, е чудесен начин да направите работата в ИТ сектора по-ефективна. Затова търсете продукти, които вместо да ви претоварват, предлагат цялостна защита с прости модели на използване. 
• Научете се да делегирате: Често срещано оплакване на висшите ИТ специалисти е, че делегирането на работа е трудно, тъй като те не могат да бъдат сигурни в уменията и знанията на колегите си. Затова предпочитат да правят всичко сами, вместо да се съсредоточат върху задачи от по-висок порядък. Въпреки това всеки има ограничена честотна лента и неделегирането на задачите на другите може да претовари дори най-добрия старши служител. 
• Възлагане на външни изпълнители: Не можете да се справите с всички ИТ задачи? Обмислете възможността да възложите на външен изпълнител поне ИТ сигурността си, като по този начин ще разтоварите поне частично ИТ екипите. Това ще намали шанса от прегаряне.  

В допълнение, не е задължително прегарянето да се дължи само на работата. Може да има много допълнителни фактори, като например тревожност от взаимодействието с хората, депресия или всичко, което идва от външната среда и може да окаже въздействие върху човешката психика. В тези случаи помислете и за коучинг, тъй като той може да ви помогне да се справите с някои проблеми, които дори смяната на работата не би могла да реши. 

Преди дни стана ясно, че потребителите на новата операционна система на Apple macOS 15 Sequoia имат проблеми с мрежовата връзка, когато използват определени EDR (endpoint detection and response) решения или виртуални частни мрежи (VPN). 

Засега са докладвани проблеми със защитните продукти на SentinelOne, Microsoft, CrowdStrike и ESET. Те се разрешават, когато въпросните инструменти бъдат деактивирани, което категорично говори за несъвместимост с мрежовия стек на операционната система. 

В съобщение до клиентите си, цитирано от BleepingComputer, CrowdStrike съветва да не се надгражда до macOS 15, докато проблемът не бъде решен. 

От ESET са значително по-изчерпателни в съветите си. 

Решение на проблема от ESET 

На първо място, от компанията за киберсигурност акцентират, че понастоящем macOS Sequoia поддържа ESET Endpoint Security версия 8.1.6.0 (и по-нова) и ESET Cyber Security версия 7.5.74.0 (и по-нова). Потребителите, които използвате ESET Cyber Security версия 6 и са преминали към новата операционна система на Apple, трябва да надградят до версия 7. Още повече, че версия 6 е със статус на ограничена поддръжка, която скоро ще спре напълно.  

Като цяло ESET дава три варианта за отстраняване на проблема с мрежовата свързаност при macOS Sequoia: 

Вариант I: Премахване на мрежовия филтър 

• отидете в System Settings (Системни настройки) на вашето устройство; 
• изберете Network → Filters (Мрежа → Филтри); 
• Изберете ESET Network и натиснете върху иконата с минус; 
• Рестартирайте Вашето macOS устройство и проверете дали мрежовата ви връзка функционира; 
• актуализирайте своята ESET Endpoint Security, ESET Cyber Security или Cyber Security Pro до най-новата версия. 

Вариант II: Деинсталиране на по-старата версия и инсталиране на най-новата 

За да деинсталирате продукта на ESET за macOS, трябва да използвате програмата в съдържанието на неговия пакет: 

• влезте в Applications (Приложения); 
• щракнете с десния бутон на мишката върху продукта ESET, след което изберете Show Package Contents → Contents → Helpers → Uninstaller (Покажи съдържанието на пакета → Съдържание → Помагала → Деинсталатор); 
• рестартирайте вашето macOS устройство и проверете дали мрежовата ви връзка функционира.
• Изтеглете и инсталирайте най-новата версия на вашия ESET продукт за macOS, като използвате инструкциите за ESET Endpoint Security или ESET Cyber Security и Cyber Security Pro. 

Вариант III: Инсталиране на най-новата версия на продукта на ESET за macOS 

В случай че мрежовата ви връзка не работи, но вече имате инсталатор с най-новата версия на продукта ESET за macOS, наличен на вашето устройство, можете да я инсталирате върху версия 6: 

• Инсталирайте ESET Endpoint Security за macOS 
• Инсталирайте ESET Cyber Security или ESET Cyber Security Pro 

След инсталацията рестартирайте вашето устройство и проверете дали мрежовата ви връзка функционира. 

На 15-ти септември Wi-Fi навърши 25 години! За това време технологията за безжична комуникация се превърна в едно от нещата, без които не можем да си представим функционирането на съвременния свят.  

Тя е неизменна част от днешните компютри, телефони, телевизори, смарт часовници и всевъзможни други умни устройства, давайки на крайните потребители и бизнесите възможности, които някога съществуваха само в научнофантастичните филми и книги. Отдалечено управление на машини, работа от разстояние, постоянна връзка с интернет – всичко това дължим на нея. НАСА дори обмисля как да я използва на Луната! 

Но като всяка трансформираща технология, освен с предимства Wi-Fi идва и с присъщите си рискове. Използването на безжични мрежи, особено публични, крие няколко сериозни опасности. 

Публични Wi-Fi мрежи 

На първо място са атаките от типа Man-in-the-Middle (MITM), при които хакерите прихващат комуникациите между потребителя и мрежата. Това им позволява да получат неоторизиран достъп до чувствителна информация. 

Нападателите също така създават фалшиви Wi-Fi мрежи (Evil Twin), които имитират легитимни такива и им позволяват да инсталират зловреден софтуер на устройствата. 

В много публични Wi-Fi мрежи липсва криптиране, което пък улеснява киберпрестъпниците да наблюдават и улавят незащитени данни. В същото време те могат да се възползват от техните уязвимости и за да поемат контрола над активната сесия на даден потребител в уебсайт или приложение. 

Безжичните мрежи могат да бъдат благоприятна среда и за разпространение на зловреден софтуер, ако хакерите успеят да заразят самите тях. Те често се превръщат в канал за разпространение на ransomware, който блокира достъпа на потребителите до файловете им. 

Не на последно място, през незащитени публични Wi-Fi мрежи хакерите могат дистанционно да наблюдават интернет активността, като улавят чувствителна информация без пряк достъп. 

Затворени Wi-Fi мрежи 

Но и затворените безжични мрежи не са напълно защитени. Особено ако се използват стари рутери и пароли по подразбиране.  

Старите рутери често не разполагат с най-новите актуализации на фърмуера, които поправят уязвимостите в сигурността. Производителите спират да поддържат остарелите модели, а без редовни актуализации те стават лесна мишена за хакерите. 

По-старите рутери също така обикновено не разполагат със съвременни функции за сигурност като мрежи за гости, вградени защитни стени и надеждно криптиране, както и с необходимата изчислителна мощност за безопасната обработка на едновременни връзки. 

Когато става дума за пароли по подразбиране – в много случаи те са сходни за всички устройства и лесно се разбиват. 

Как да се защитим 

За да защитите безжичната си мрежа, е изключително важно да използвате рутери с актуален фърмуер, силни пароли и усъвършенствани функции за сигурност.  

А за да намалите рисковете при използването на публични Wi-Fi мрежи: 

• използвайте VPN; 
• избягвайте чувствителни трансакции; 
• винаги потвърждавайте легитимността на Wi-Fi мрежата, преди да се свържете с нея;  
• деактивирайте функциите за автоматично свързване; 
• поддържайте софтуера на устройствата си актуализиран; 
• използвайте силни пароли; 
• излизайте от мрежата след употреба; 
• избягвайте да въвеждате поверителна информация в мобилни приложения. 

 

Последен ъпдейт на 25 септември 2024 в 12:39 ч.

Училищатa и университетите са изправени пред нарастващи разходи, свързани с ransomware атаки, от една страна, а от друга – срещат все повече трудности да се възстановят след тях. 

Организациите от образователния сектор плащат най-високата средна стойност след подобни кампании – 6,6 млн. USD, като сумата е сравнима само с откупите, платени от федералното правителство на САЩ.  

Докладът State of Ransomware in Education 2024 на компанията за киберсигурност Sophos установява, че 44% от училищата в 14 държави от различни глобални региони, в това число и Европа, са се сблъскали с искане за откуп в размер на 5 млн. USD или повече. На 32% от висшите учебни заведения са им били искани между 1 и 5 млн. USD, а на 35% – над 5 млн. USD. 

Кампаниите срещу образователни институции са намалели през 2024 г. в сравнение с 2023, но остават повече спрямо 2022. 

В същото време 95% от атакуваните образователни институции са съобщили, че киберпрестъпниците са се опитали да компрометират и резервните копия на данните им, като при 71% тези опити са успешни. 

Въпреки че България не е след изследваните държави, училищата у нас не са застраховани по никакъв начин. За да се предпазят от ransomware атаки, те трябва да: 

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн; 
• сте сигурни, че резервните копия работят правилно, което изисква постоянни проверки; 
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани; 
• използват софтуери за киберсигурност; 
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация; 
• провеждат постоянно обучения по киберсигурност на служителите си. 

Подкрепяните от Русия и Северна Корея хакери отдавна са сериозен проблем за киберсигурността на бизнеса и правителствените системи навсякъде по света. Това важи с още по-голяма сила за САЩ и Европа, а по всичко личи, че тази тенденция се задълбочава.  

Хакери на руското военно разузнаване атакуват ключови сектори на държави от НАТО

APT групи (Advanced Persistent Threats) към специализирано звено на Главното разузнавателно управление на руския Генерален щаб, използващи иновативни технологии като изкуствения интелект, се насочват към критични сектори на държави членки на НАТО и техни съюзници. Според федералните власти на САЩ и девет други западни служби в списъка с потенциални цели влизат организации от сферата на транспорта, енергетиката, здравеопазването, правителствените и финансовите услуги и т.н.  

В рамките на разследването са документирани повече от 14 000 случая на сканиране на домейни в поне 26 държави членки на НАТО и още няколко от ЕС. Нападателите са компрометирали уебсайтовете на жертвите, сканирали са инфраструктурата им и са ексфилтрирали данни. 

Свързаните с Москва групи са използвали известни уязвимости, като сред наблюдаваните активни експлойти са такива срещу продуктите на Atlassian Confluence Server и Data Center, IP камери на Dahua и Sophos Firewall.  

Пхенян подготвя вълна от кибератаки срещу организации за криптовалути 

В същото време севернокорейски групи подготвят вълна от кибератаки срещу „организации с достъп до големи количества активи или продукти, свързани с криптовалута“. От ФБР предупреждават, че се очаква кампанията да бъде базирана на особено опасни тактики за социално инженерство, включително силно персонализиране, което ще я направи изключително убедителна. 

През последните няколко месеца федералното бюро е засякло различни спонсорирани от Пхенян групи, проучващи цели, свързани с борсово търгувани криптофондове (ETF).  

Предстоящите атаки могат да включват както кражба на криптовалути, така и внедряване на зловреден софтуер. От ООН изчисляват, че досега при подобни кампании севернокорейските хакери са откраднали около 3 млрд. долара в криптовалути, но сегашната вълна от кибератаки може да се окаже още по-трудна за откриване от предишните. 

В нейните рамки се очаква хакерите да се представят за специалисти по набиране на персонал и да се насочат към служители от различни сектори. Те дори може да кандидатстват за работа в различни западни организации и ако бъдат наети, да извършват злонамерена дейност отвътре. 

Обикновено подобни атаки започват с фалшиви предложения за работа или с файлове, съдържащи „троянски кон“, маскирани като PDF, Virtual Network Computing (VNC) клиенти или софтуер за отдалечени конференции. Тези злонамерени файлове често се изпращат под прикритието на предложения за наемане на работа, оферти за специалисти на свободна практика или дори идеи за инвестиции.  

„Компаниите, особено в криптосектора, трябва да бъдат предпазливи по отношение на служителите, които се занимават с лични дейности като търсене на работа на устройства с достъп до фирмена информация, тъй като нападателите се насочват предимно към идентификационните данни за вход и криптопортфейлите. Освен това организациите трябва внимателно да проверяват потенциалните инвестиционни партньори, за да се уверят в тяхната автентичност“, съветва Анди Гарт, директор по правителствените въпроси в ESET. 

Новооткрита уязвимост на 18 години, която засяга на практика всички модрени браузъри, позволява неоторизиран достъп до услуги на машините за всеки един потребител. Накратко, това е „0.0.0.0 Day“, разкрита от израелската компания за  киберсигурност Oligo Security.

Казусът е в начина, по който Google Chrome/Chromium, Mozilla Firefox, и Apple Safari обработват заявки към един определен IP адрес – или по-точно как заобикалят защитните механизми на браузърите, което позволява експлоатирането на различни локални услуги на машината,  обект на атака.

По-конкретно. Oligo Security с открили, че сайтове могат да комуникират с услуги в локалната мрежа и да изпълняват код на машината на на устройството на посетителя като изпращат заявки към 0.0.0.0 вместо стандартното localhost/127.0.0.1. Причината: 0.0.0.0 Day заобикаля Private Network Access (PNA), предназначена да забрани на публични уебсайтове да осъществяват директен достъп до услуги на ниво операционна система на потребителя.

В резултат на това (и благодарение на непоследователното прилагане на механизмите за сигурност и липсата на стандартизация в различните браузъри) един на пръв поглед безобиден IP адрес като 0.0.0.0 може да бъде използван като оръжие за неоторизиран достъп и отдалечено изпълнение на код от нападатели извън мрежата.

Телеметрията на Google показва, че около 0.015% от всички уебсайтове (приблизително 200 млн. по света) взаимодействат с 0.0.0.0. Това не означава автоматично, че те са опасни – но може и да бъдат.

„0.0.0.0 Day“ съществува от 2006 г. насам и засяга Google Chrome/Chromium, Mozilla Firefox и Safari на Apple. След разкриването на уязвимостта, авторите им започват постепенно да забраняват интеракцията с 0.0.0.0. По-конкретно:

• Google Chrome (и останалите Chromium-базирани браузъри като Edge): блокирането на достъпа до 0.0.0.0 започва от Chromium 128. Адресът ще е напълно блокиран до версия 133 на Chrome
• Apple Safari: Apple добави промени в енджина си Webkit, който блокира достъпа на всички заявки към 0.0.0.0
• Mozilla Firefox: браузърът никога не е разчитал на PNA, но в не определена бъдеща дата Firefox ще блокира заявките към 0.0.0.0

Дотогава: очите на четири и внимавайте в какви сайтове влизате.